Sõjaväe tanki käsiraamat, 2017. aasta nullpäeva ankur, viimane Ukraina küberrünnak

Tundmatu ohustaja võttis 2023. aasta lõpus sihikule Ukraina valitsusüksused, kasutades vana Microsoft Office'i koodikäivitusprogrammi (RCE) 2017. aastast (CVE-2017-8570) algvektorina ja sõjaväesõidukeid peibutisena.

Ohustaja algatas ründe, kasutades pahatahtlikku PowerPointi faili (.PPSX), mis saadeti manusena sõnumi kaudu turvalisel sõnumsideplatvormil Signal. Sellel failil, mis maskeeriti USA armee tankide miinitõrjeterade vanaks juhendiks, oli tegelikult kaugsuhe välise skriptiga, mis oli hostitud Venemaa virtuaalse privaatserveri (VPS) pakkuja domeenis, mida kaitseb Cloudflare.

Skript käivitas vastavalt Deep Instincti ajaveebi postitus rünnakul sel nädalal, et teavet varastada.

Keerulise küberrünnaku kapoti all

Mis puutub tehnilistesse asjadesse, siis segas skript maskeeriti Cisco AnyConnecti APN-i konfiguratsiooniks ja vastutas püsivuse seadistamise, dekodeerimise ja manustatud kasuliku koormuse kettale salvestamise eest, mis toimus tuvastamisest kõrvalehoidmiseks mitmes etapis.

Kasulik koormus sisaldab laadija/pakkija dünaamilise lingi teeki (DLL) nimega "vpn.sessings", mis laadib mällu Cobalt Strike Beaconi ja ootab juhiseid ründaja käsu- ja juhtimisserverist (C2).

Deep Instincti ohulabori meeskonna juht Mark Vaitzman märgib, et läbitungimistesti tööriist Cobalt Strike on kasutatakse väga sageli ohustajate seas, kuid see konkreetne majakas kasutab kohandatud laadijat, mis tugineb mitmele analüüsi aeglustavale tehnikale.

"Seda ajakohastatakse pidevalt, et pakkuda ründajatele lihtsat viisi külgsuunas liikumiseks, kui esialgne jalajälg on määratud," ütleb ta. "[Ja] seda rakendati mitmes analüüsivastases ja ainulaadses kõrvalehoidmise tehnikas."

Vaitzman märgib, et 2022. aastal leiti Cobalt Strike'is tõsine CVE, mis võimaldas RCE-d – ja paljud teadlased ennustasid, et ohus osalejad muudavad tööriista avatud lähtekoodiga alternatiivide loomiseks.

"Maaalustest häkkimisfoorumitest võib leida mitu krakitud versiooni," ütleb ta.

Lisaks Cobalt Strike'i kohandatud versioonile on tema sõnul kampaania tähelepanuväärne ka selle poolest, et ohus osalejad üritavad pidevalt maskeerida oma faile ja tegevust seaduslikuks, rutiinseks OS-i ja tavaliste rakenduste toiminguteks, et jääda varjatuks ja säilitada kontrolli. nakatunud masinatest nii kaua kui võimalik. Ta ütleb, et selles kampaanias võtsid ründajad selle ära "Maalt elamise" strateegia edasi.

"See rünnakukampaania näitab mitmeid maskeerimisvõtteid ja nutikat püsimisviisi, mida pole veel dokumenteeritud," selgitab ta üksikasju avaldamata.

Cyberthreat Groupil on teadmata mark ja mudel

sihikule on võetud Ukraina mitmete ohustajate poolt mitmel korral sõja ajal Venemaaga Liivausside rühm toimib agressori esmase küberrünnakuüksusena.

Kuid erinevalt enamikust sõjaaegsetest rünnakukampaaniatest ei saanud ohulabori meeskond seda pingutust siduda ühegi teadaoleva ohurühmaga, mis võib viidata sellele, et tegemist on uue rühma või teadaoleva ohu täielikult täiendatud tööriistakomplekti esindaja tööga. näitleja.

Mayuresh Dani, Qualys Threat Research Unit'i turvauuringute juht, juhib tähelepanu geograafiliselt erinevate allikate kasutamisele, et aidata ohus osalejatel omistamist hajutada, mis muudab ka turvameeskondade jaoks keeruliseks geograafilise asukoha alusel sihipärase kaitse pakkumise.

"Proov laaditi üles Ukrainast, teist etappi majutati ja registreeriti Venemaa VPS-i pakkuja all ning Cobalt-majakas [C2] registreeriti Poolas Varssavis," selgitab ta.

Ta ütleb, et ründeahela juures oli tema arvates kõige huvitavam see, et esialgne kompromiss saavutati turvalise signaalirakenduse kaudu.

" Signal Messengerit on suures osas kasutanud turvalisusele keskendunud personal või need, kes tegelevad salainfo jagamisega, näiteks ajakirjanikud,” märgib ta.

Tugevdatud küberturbe, turvateadlikkus, paigahaldus

Vaitzman ütleb, et kuna enamik küberrünnakuid saavad alguse andmepüügist või e-kirjade või sõnumite kaudu linkimisest, mängib töötajate laiem küberteadlikkus selliste rünnakukatsete leevendamisel olulist rolli.

Ja turvameeskondade jaoks: "Soovitame ka skannida võrgus olevaid IoC-sid ja veenduda, et Office on uusimale versioonile paigatud," ütleb Vaitzman.

Critical Starti küberohtude uurimise vanemjuht Callie Guenther ütleb, et kaitse seisukohast rõhutab vanematele ärakasutamistele tuginemine ka tugevate paigahaldussüsteemide tähtsust.

"Lisaks rõhutab rünnaku keerukus vajadust täiustatud avastamismehhanismide järele, mis ulatuvad kaugemale allkirjapõhised küberkaitse lähenemisviisid,” ütleb ta, „kaasades käitumise ja kõrvalekallete tuvastamise, et tuvastada muudetud pahatahtlikku tarkvara.”

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack